Personvernerklæring

1. Behandlingsansvarlig

Elite Digital Services, LLC
1111B S Governors Ave #21653
Dover, DE 19904, USA

E-post: support@foxi.food

Med hensyn til FoxiFood-plattformen opptrer Elite Digital Services, LLC i følgende personvernroller:

• Behandlingsansvarlig — for personopplysninger om restaurantpartnere (brukere), og for FOXI ID-kontodata (innloggingsopplysninger og autentiseringsdata) til sluttkunder som oppretter en FOXI ID-konto;
• Databehandler — for personopplysninger om sluttkunder som behandles på vegne av restaurantpartneren i forbindelse med bestillinger lagt inn via restaurantens bestillingsnettsted (se databehandleravtalen vår for nærmere detaljer).

Elite Digital Services, LLC er eneste operatør av FoxiFood-plattformen og kan engasjere autoriserte enheter i ulike jurisdiksjoner til å utføre bestemte tekniske oppgaver på sine vegne.

Bortsett fra å drive den delte identitetsinfrastrukturen FOXI ID (se punkt 2.3), etablerer FoxiFood ikke noe direkte kommersielt forhold til sluttkunder. Plattformen leverer den tekniske infrastrukturen som kreves for å drive restauranters bestillingsnettsteder.

EU-representant (artikkel 27 GDPR)

I samsvar med artikkel 27 i GDPR er følgende enhet utnevnt som EU-representant for Elite Digital Services, LLC:

Euro business company Kft.
Rómer Flóris utca 8/B. 3. em., Budapest 1024, Hungary
Skattenummer: HU28959364

For fullstendige detaljer om EU-representanten og dens rolle, se GDPR-siden vår.

Innebygd personvern og behandlingsprotokoller

Vi implementerer innebygd personvern og personvern som standard i samsvar med artikkel 25 i GDPR. Vi fører protokoll over behandlingsaktiviteter slik artikkel 30 i GDPR krever, og dokumenterer alle kategorier av behandlingsaktiviteter som utføres på vegne av eller som en del av FoxiFood-plattformen. Der artikkel 35 i GDPR krever det, gjennomfører vi vurderinger av personvernkonsekvenser før vi iverksetter behandlingsoperasjoner som sannsynligvis vil medføre høy risiko for fysiske personers rettigheter og friheter.

2. Hvilke data vi samler inn

2.1. Restaurantpartnerens (brukerens) data

Når du registrerer deg og bruker FoxiFood-plattformen, samler vi inn:

• Virksomhetsidentifikasjon: foretaksnavn, registreringsnummer, merverdiavgiftsnummer, registrert adresse;
• Kontaktinformasjon: navn, e-postadresse, telefonnummer;
• Kontopåloggingsdata: e-post og kryptert passord;
• Faktureringsopplysninger: detaljer om betalingsmetode, transaksjonshistorikk, fakturaer (kortopplysninger behandles og lagres utelukkende av betalingsformidleren);
• Tjenestebruksdata: innloggingshistorikk, funksjonsbruk, aktivitet i administrasjonspanelet;
• Kommunikasjonsdata: støtteforespørsler, tilbakemeldinger, korrespondanse.

2.2. Sluttkundedata (behandlet på vegne av restaurantpartnere)

Sluttkunder samhandler direkte med restaurantpartnerens bestillingsnettsted. FoxiFood leverer kun den tekniske infrastrukturen som kreves for å drive dette nettstedet.

Når sluttkunder legger inn bestillinger via en restaurants FoxiFood-drevne nettsted, behandler vi følgende data på vegne av restaurantpartneren:

• Kontaktinformasjon: navn, e-postadresse, telefonnummer;
• Leveringsadresse (når aktuelt);
• Bestillingsdetaljer: bestilte varer, bestillingshistorikk, preferanser;
• Betalingstransaksjonsreferanser (kortopplysninger håndteres utelukkende av betalingsformidleren).

2.3. FOXI ID (delt kundeidentitetsinfrastruktur)

FoxiFood-plattformen omfatter et delt kundeidentitetssystem («FOXI ID») som lar sluttkunder opprette én enkelt konto og bruke de samme innloggingsopplysningene på tvers av alle restauranters bestillingsnettsteder på plattformen. FOXI ID er en teknisk infrastrukturkomponent som leveres som en del av plattformen.

Elite Digital Services, LLC opptrer som behandlingsansvarlig for FOXI ID-kontodata, som omfatter:

• Innloggingsopplysninger (e-postadresse og kryptert passord);
• Autentiseringsøktdata;
• Kontaktinformasjon som brukes til å forhåndsutfylle bestillingsskjemaer (navn, telefonnummer, leveringsadresse).

Gjennom FOXI ID kan sluttkundens kontaktdata (navn, e-post, telefonnummer, leveringsadresse) forhåndsutfylles når det legges inn en bestilling hos en hvilken som helst restaurant på plattformen. Bestillingsdata, bestillingshistorikk, preferanser og betalingsinformasjon deles IKKE mellom restauranter. Hver restaurant har bare tilgang til data som er generert via sitt eget bestillingsnettsted.

Rettsgrunnlaget for behandling av FOXI ID-data er:

• Oppfyllelse av kontrakt (artikkel 6 nr. 1 bokstav b) i GDPR) — for å opprettholde FOXI ID-kontoen og autentisere sluttkunden hos restauranten der vedkommende legger inn en bestilling;
• Berettiget interesse (artikkel 6 nr. 1 bokstav f) i GDPR) — for å forhåndsutfylle kontaktdata på tvers av restauranter på plattformen, der den berettigede interessen er å tilby en sømløs bestillingsopplevelse og redusere friksjon for tilbakevendende kunder. Denne interessen er avveid mot sluttkundens rettigheter — kun grunnleggende kontaktdata deles, ingen bestillingshistorikk eller preferanser utleveres, og sluttkunden kan når som helst be om å få slettet FOXI ID-kontoen sin.

Leverandøren bruker ikke FOXI ID-data til markedsføring, profilering, analyse på tvers av restauranter eller noe annet formål enn å levere plattforminfrastrukturen.

Sluttkunder kan utøve sine rettigheter som registrerte med hensyn til FOXI ID-kontoen sin (innsyn, retting, sletting, dataportabilitet, begrensning, innsigelse) ved å kontakte: support@foxi.food. Sletting av en FOXI ID-konto fjerner den delte innloggingen på tvers av alle restauranter på plattformen. Bestillingshistorikk hos enkeltrestauranter beholdes eller slettes i samsvar med den aktuelle restaurantpartnerens retningslinjer for datalagring.

2.4. Automatisk innsamlede data

Vi samler automatisk inn visse tekniske data når du besøker nettstedene våre:

• IP-adresse og omtrentlig geolokasjon;
• Nettlesertype, versjon og språkinnstillinger;
• Enhetstype og operativsystem;
• Besøkte sider, tid brukt, henvisende URL-er;
• Informasjonskapseldata (se våre retningslinjer for informasjonskapsler for detaljer).

3. Rettslig grunnlag for behandling

Vi behandler personopplysninger på følgende rettslige grunnlag:

• Kontraktsoppfyllelse — behandling som er nødvendig for å oppfylle avtalen mellom oss og brukeren (registrering, kontoadministrasjon, tjenesteleveranse, fakturering);
• Berettiget interesse — behandling som er nødvendig for våre berettigede forretningsinteresser (tjenesteforbedring, sikkerhet, svindelforebygging, analyse), avveid mot dine rettigheter;
• Rettslig forpliktelse — behandling som kreves for å etterleve gjeldende lover (skatterapportering, hvitvaskingsbekjempelse, regulatoriske krav);
• Samtykke — der loven krever det, innhenter vi ditt uttrykkelige samtykke (f.eks. for analyseinformasjonskapsler, markedsføringskommunikasjon). Du kan når som helst trekke tilbake samtykket.

4. Hvordan vi bruker dataene dine

Vi bruker dine personopplysninger til følgende formål:

• Tilby og drifte FoxiFood-plattformen og alle dens funksjoner;
• Kontoopprettelse, autentisering og administrasjon;
• Behandling av betalinger og utstedelse av fakturaer gjennom våre betalingspartnere;
• Yte teknisk støtte og svare på dine henvendelser;
• Sende tjenestevarsler (vedlikehold, sikkerhetsvarsler, oppdateringer av vilkår);
• Forbedre tjenesten basert på bruksmønstre og tilbakemeldinger;
• Sikre sikkerhet, forhindre svindel og oppdage uautorisert tilgang;
• Overholde juridiske og regulatoriske forpliktelser;
• Generere anonymiserte og aggregerte statistikker.

5. Datadeling og tredjeparter

Vi selger ikke personopplysningene dine. Vi deler kun data med følgende kategorier av mottakere, i den grad det er nødvendig:

• Betalingsbehandler (for tiden Stripe) — betalingsbehandling (PCI DSS nivå 1-sertifisert);
• DigitalOcean — skyhosting og infrastruktur;
• Brevo — transaksjonell e-postlevering;
• Google Analytics — nettstedsanalyse (med ditt samtykke, anonymisert);
• Juridiske og regulatoriske myndigheter — når det kreves ved lov, rettsavgjørelse eller anmodning fra myndighetene;
• Profesjonelle rådgivere — advokater og revisorer underlagt taushetsplikt.

Alle tredjeparts databehandlere er kontraktsmessig forpliktet til å behandle data kun i henhold til våre instrukser og til å opprettholde egnede sikkerhetstiltak.

6. Internasjonale dataoverføringer

Ettersom Elite Digital Services, LLC er etablert i USA, kan dataene dine bli overført til og behandlet i USA. Vi sørger for at det foreligger egnede garantier for slike overføringer i samsvar med kapittel V i GDPR, herunder standard personvernbestemmelser (SCC-er) vedtatt av Europakommisjonen i henhold til gjennomføringsbeslutning (EU) 2021/914 av 4. juni 2021. For overføringer til underdatabehandlere anvendes modul to (behandlingsansvarlig-til-databehandler) eller modul tre (databehandler-til-databehandler) av SCC-ene, alt etter hva som er relevant. Vi gjennomfører vurderinger av overføringskonsekvenser for hver underdatabehandler for å vurdere det juridiske rammeverket i mottakerlandet. Kopier av de signerte SCC-ene er tilgjengelige på forespørsel. Vår hostinginfrastruktur (DigitalOcean) driver datasentre innenfor EU for europeiske brukere.

7. Datalagring

Vi oppbevarer personopplysninger kun så lenge det er nødvendig for de formålene de ble samlet inn for:

• Kontodata: i avtalens løpetid pluss 30 dager for dataeksport;
• Fakturerings- og transaksjonsdata: i den perioden som kreves av gjeldende skatte- og regnskapslovgivning (vanligvis 5–10 år);
• Kommunikasjonsposter: i 3 år etter siste kommunikasjon;
• Analysedata: oppbevares for statistiske formål i anonymisert form; identifiserbare data slettes etter 26 måneder;
• Sluttkunders bestillingsdata: som fastsatt av restaurantpartneren (behandlingsansvarlig). Restaurantpartneren kan konfigurere innstillinger for datalagring i plattformen. FoxiFood behandler og sletter sluttkundedata strengt i henhold til restaurantpartnerens instrukser. Når restaurantpartnerens avtale opphører, slettes dataene innen 30 dager;
• FOXI ID-kontodata: så lenge sluttkunden opprettholder en aktiv FOXI ID-konto. Ved forespørsel om kontosletting slettes FOXI ID-data innen 30 dager. Inaktive FOXI ID-kontoer (ingen innloggingsaktivitet på 36 måneder) settes automatisk opp for sletting med 30 dagers forhåndsvarsel til sluttkundens registrerte e-postadresse.

Restaurantpartneren, som behandlingsansvarlig for sine sluttkunders bestillingsdata, forblir alene ansvarlig for å etterleve alle gjeldende juridiske, skattemessige og regnskapsmessige forpliktelser til datalagring i sin jurisdiksjon. Lagring av FOXI ID-kontodata administreres av leverandøren slik det er beskrevet i punkt 2.3.

Etter at lagringsperiodene er utløpt, slettes eller anonymiseres dataene ugjenkallelig.

8. Datasikkerhet

I samsvar med artikkel 32 i GDPR og prinsippet om innebygd personvern og personvern som standard (artikkel 25 i GDPR) implementerer vi egnede tekniske og organisatoriske tiltak for å beskytte personopplysninger, herunder:

• Kryptering av alle data under overføring med TLS/SSL;
• Kryptert lagring av sensitive data i hvile;
• Passordhashing med bransjestandard-algoritmer;
• Tilgangskontroller og rollebaserte tillatelser;
• Regelmessige sikkerhetsoppdateringer og sårbarhetovervåking;
• Daglige automatiserte sikkerhetskopier med 30 dagers oppbevaring;
• Betalingskortdata håndteres utelukkende av den PCI DSS Level 1-sertifiserte betalingsformidleren — vi lagrer aldri kortnumre;
• Prosedyrer for hendelsesrespons og varslingsprotokoller ved brudd.

9. Dine rettigheter (GDPR)

I henhold til GDPR og gjeldende personvernlovgivning har du følgende rettigheter:

• Rett til innsyn — be om en kopi av dine personopplysninger som vi oppbevarer;
• Rett til retting — be om retting av unøyaktige eller ufullstendige data;
• Rett til sletting — be om sletting av dataene dine («retten til å bli glemt»), med forbehold om lovbestemte lagringsforpliktelser;
• Rett til begrensning — be om begrensning av behandling under visse omstendigheter;
• Rett til dataportabilitet — motta dine data i et strukturert, maskinlesbart format;
• Rett til å protestere — protestere mot behandling basert på berettiget interesse;
• Rett til å trekke tilbake samtykke — trekk tilbake samtykke når som helst der behandling er basert på samtykke;
• Rett til å klage — inngi en klage til en tilsynsmyndighet i ditt bostedsland. Relevante tilsynsmyndigheter omfatter: Úřad pro ochranu osobních údajů (ÚOOÚ) i Tsjekkia, Úrad na ochranu osobných údajov i Slovakia og Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) i Ungarn. Se GDPR-siden vår for fullstendige kontaktopplysninger til tilsynsmyndighetene.

For å utøve noen av disse rettighetene, kontakt oss på: support@foxi.food. Vi vil besvare henvendelsen din innen 30 dager. Du kan også kontakte vår EU-representant (Euro business company Kft.) — se GDPR-siden vår for detaljer.

10. Informasjonskapsler

Vi bruker nødvendige informasjonskapsler for nettstedets funksjonalitet og valgfrie analyseinformasjonskapsler med ditt samtykke. For detaljert informasjon om informasjonskapslene vi bruker og hvordan du administrerer preferansene dine, se vår egen erklæring om informasjonskapsler.

Den delte kundeidentitetsinfrastrukturen FOXI ID bruker følgende informasjonskapsler:

• Øktkapsel på domenet .foxi.food — opprettholder sluttkundens autentiserte økt hos restauranten der vedkommende for øyeblikket legger inn en bestilling. Klassifisert som strengt nødvendig for at bestillingstjenesten skal fungere (krever ikke samtykke);
• Autentiseringsbevarelse på tvers av restauranter — gjør det mulig for sluttkunden å forbli innlogget når vedkommende besøker andre restauranter på plattformen. Klassifisert som en funksjonell informasjonskapsel. På restauranters bestillingsnettsteder presenteres denne informasjonskapselen gjennom samtykkemekanismen for informasjonskapsler, og sluttkunden kan avslå den uten at det påvirker muligheten til å legge inn bestillinger (manuell innlogging vil kreves hos hver restaurant);
• SSO-omdirigering for egendefinerte domener — for restauranter som bruker sitt eget egendefinerte domene, legger en kortvarig viderekoblingsinformasjonskapsel til rette for autentisering. Klassifisert som strengt nødvendig for innloggingsprosessen på egendefinerte domener (krever ikke samtykke).

FOXI ID bruker ingen tredjeparts informasjonskapsler, sporingsinformasjonskapsler eller mekanismer for sporing på tvers av domener. Alle FOXI ID-informasjonskapsler tjener utelukkende det tekniske formålet med autentisering.

11. Barns personvern

FoxiFood-tjenesten er en B2B-plattform beregnet på virksomheter. Vi samler ikke bevisst inn personopplysninger fra barn under 16 år. Hvis vi blir oppmerksomme på at vi har samlet inn data fra et barn, vil vi slette dem omgående.

12. Endringer i denne personvernerklæringen

Vi kan oppdatere denne personvernerklæringen fra tid til annen. Vi vil varsle deg om vesentlige endringer minst 30 dager i forveien via e-post eller varsel i tjenesten. Datoen for siste oppdatering vises øverst i dette dokumentet. Fortsatt bruk av tjenesten etter at endringene har trådt i kraft, utgjør aksept av den oppdaterte personvernerklæringen.

13. Kontakt

For personvernrelaterte henvendelser, forespørsler fra registrerte eller klager, kontakt oss på: support@foxi.food

Elite Digital Services, LLC
1111B S Governors Ave #21653
Dover, DE 19904, USA